ISMS手冊信息安全管理IT服務管理體系手冊_第1頁
ISMS手冊信息安全管理IT服務管理體系手冊_第2頁
ISMS手冊信息安全管理IT服務管理體系手冊_第3頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

信息安全管理IT服務管理體系手冊本公司按照ISO20000:2005ISO270012005《信息安全管理體系要求》以及本公司業(yè)務特點編制《信息安全管理&IT服務IT服務管理體系,現(xiàn)予以頒布實施。本手冊是公司法規(guī)性文件,用于貫徹公司信息安全管理方針和目標,貫徹IT服務管理理念方針和服務目標。為實現(xiàn)信息安全管理與IT服務管理,開展持續(xù)改進服務質量,不斷提高客戶滿意度活動,加強信息安全建設的綱領性文件和行動準則。是全體員工必須遵守的原則性規(guī)范。體現(xiàn)公司對社會的承諾,通過有效的PDCA活動向顧客提供滿足要求的信息安全管理和IT服務。本手冊符合有關信息安全法律法規(guī)要求以及《信息技術服務ISO270012005《信息安全管理體系要求》和公司實際情況。為能更好的貫徹公司管理層在信息安全與IT服務管理方面的策略和方針,根據(jù)ISO20000:2005《信息技術服務管理—規(guī)范》和ISO27001:2005《信息安全管理體系要求》的要求任命XXXXX為管理者代表,作為本公司組織和實施“信息安全管理與IT服務管理體系”的負責人。直接向公司管理層報告。&IT遵守本手冊各項要求,努力實現(xiàn)公司的信息安全與IT服務的方針和目標。管理者代表職責:a)建立服務管理計劃;b)向組織傳達滿足服務管理目標和持續(xù)改進的重要性;e)如招聘合適的人員,管理人員的更新;1.確保按照ISO207001:2005標準的要求,進行資產(chǎn)識別和風險評估,全面建立、實施ISO/IEC20000組織相關資源,建立、實施和保持IT服務管理體系,不斷改進IT服務管理體系,確保其有效性、適宜性和符合性。2.負責與信息安全管理體系有關的協(xié)調和聯(lián)絡工作;向公司管理層報告IT服務管理體系的業(yè)績,如:服務方針和服務目標的業(yè)績、客戶滿意度狀況、各項服務活動及改進的要求和結果等。3.確保在整個組織內(nèi)提高信息安全風險的意識;4.審核風險評估報告、風險處理計劃;5.批準發(fā)布程序文件;6.主持信息安全管理體系內(nèi)部審核,任命審核組長,批準內(nèi)審工作報告;向最高管理者報告信息安全管理體系的業(yè)績和改進要求,包括信息安全管理體系運行情況、內(nèi)外部審核情況。7.推動公司各部門領導,積極組織全體員工,通過工作實踐、教育培訓、業(yè)務指導等方式不斷提高員工對滿足客戶需求的重要性的認知程度,以及為達到公司服務管理目標所應做出的貢獻。總經(jīng)理:日期:信息安全方針:信息安全人人有責本公司信息安全管理方針包括內(nèi)容如下:一、信息安全管理機制1.公司采用系統(tǒng)的方法,按照ISO/IEC27001:2005建立信息安全管理體系,全面保護本公司的信息安全。二、信息安全管理組織2.公司總經(jīng)理對信息安全工作全面負責,負責批準信息安全方針,確定信息安全要求,提供信息安全資源。3.公司總經(jīng)理任命管理者代表負責建立、實施、檢查、改進信息安全管理體系,保證信息安全管理體系的持續(xù)適宜性和有效性。4.在公司內(nèi)部建立信息安全組織機構,信息安全管理委員會和信息安全協(xié)調機構,保證信息安全管理體系的有效運行。5.與上級部門、地方政府、相關專業(yè)部門建立定期經(jīng)常性的聯(lián)系,了解安全要求和發(fā)展動態(tài),獲得對信息安全管理的支持。三、人員安全6.信息安全需要全體員工的參與和支持,全體員工都有保護信息安全的職責,在勞動合同、崗位職責中應包含對信息安全的要求。特殊崗位的人員應規(guī)定特別的安全責任。對崗位調動或離職人員,應及時調整安全職責和權限。7.對本公司的相關方,要明確安全要求和安全職責。8.定期對全體員工進行信息安全相關教育,包括:技能、職責和意識。以提高安全意識。9.全體員工及相關方人員必須履行安全職責,執(zhí)行安全方針、程序和安全措施。四、識別法律、法規(guī)、合同中的安全10.及時識別顧客、合作方、相關方、法律法規(guī)對信息安全的要求,采取措施,保證滿足安全要求。五、風險評估11.根據(jù)本公司業(yè)務信息安全的特點、法律法規(guī)要求,建立風險評估程序,確定風險接受準則。12.采用先進的風險評估技術和軟件,定期進行風險評估,以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時,隨時評估。13.應根據(jù)風險評估的結果,采取相應措施,降低風險。六、報告安全事件14.公司建立報告信息安全事件的渠道和相應的主管部門。15.全體員工有報告信息安全隱患、威脅、薄弱點、事故的責任,一旦發(fā)現(xiàn)信息安全事件,應立即按照規(guī)定的途徑進行報告。16.接受信息安全事件報告的主管部門應記錄所有報告,及時做出相應的處理,并向報告人員反饋處理結果。七、監(jiān)督檢查17.定期對信息安全進行監(jiān)督檢查,包括:日常檢查、專項檢查、技術性檢查、內(nèi)部審核等。八、業(yè)務持續(xù)性18防止關鍵業(yè)務過程受嚴重的信息系統(tǒng)故障或者災難的影響,并確保能夠及時恢復。19.定期對業(yè)務持續(xù)性計劃進行測試和更新。九、違反信息安全要求的懲罰20.對違反信息安全方針、職責、程序和措施的人員,按規(guī)定進行處理。信息安全目標:1.不可接受風險處理率:100%2.重大顧客因信息安全事件投訴為0次(重大顧客投訴是指直接經(jīng)濟損失金額達1萬元以上)1信息安全管理手冊說明1.1XX1.1編制依據(jù)和目的本手冊在遵循ISO90012005《信息安全管理體系要求》與ISO270012005A用

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論